Fængselstelefontjenesten Telmate afslører beskeder, personlige oplysninger om millioner af indsatte og deres kontakter
Telmate, en tjeneste, der bruges af fængslede indsatte i amerikanske fængsler til at kommunikere med deres venner og kære, har afsløret en database, der indeholder titusinder af opkaldslogger, private beskeder og personlige oplysninger om indsatte og deres kontakter. Databasen blev afsløret på nettet uden en adgangskode eller anden godkendelse påkrævet for at få adgang til den.
Comparitech sikkerhedsforsker Bob Diachenko opdagede den 13. august 2020 den usikrede database og rapporterede den straks til Global Tel Link, virksomheden, der ejer og driver Telmate. Virksomheden svarede på sin kredit inden for to timer og sikrede databasen en time senere, men det er muligt, at andre uautoriserede parter fik adgang til den før Diachenkos offentliggørelse.
Telmate laver GettingOut, en tjeneste og app til iOS og Android, der letter overvåget indsattes kommunikation via tale- og videoopkald, tekst- og fotobeskeder og voicemail.
Baseret på stikprøver af dataene estimerer vi eksponeringen, som påvirker fanger i faciliteter placeret overalt, hvor GTL opererer. GTL er den største udbyder af fængselstelefontjenester, og råder over omkring halvdelen af det amerikanske marked ifølge det fængselspolitiske initiativ .
I de forkerte hænder kan de oplysninger, der er lagret i databasen, bringe fanger og de personer, de kontakter, i alvorlig fare.
GTL anerkendte hændelsen og greb straks ind. Den afgav følgende erklæring via e-mail:
Telmate, et GTL-datterselskab, låste straks serveren ned som en sikkerhedsforanstaltning, da den blev gjort opmærksom på en sårbarhed i datasystemet på grund af handlinger fra en af vores leverandører. Denne sårbarhed blev hurtigt rettet, datasikkerhedsteamet blev straks suppleret med bistand fra tredjepartskonsulenter, og vi fortsætter med at arbejde tæt sammen med de retshåndhævende myndigheder, mens vi foretager yderligere undersøgelser af denne hændelse. Baseret på de aktuelle fakta om undersøgelsen, blev ingen medicinske data, adgangskoder eller forbrugerbetalingsoplysninger påvirket. Vi fortsætter med at tale med og underrette nødvendige parter, herunder de berørte Telmate-kunder – en lille delmængde af alle GTL-kunder – om hændelsen og de handlinger, vi har truffet for at beskytte data. Sikkerheden af de data, vi opbevarer, er af største vigtighed for os, og vi er forpligtet til at gøre alt, hvad vi kan for at holde dem sikkert.
Tidslinje for eksponeringen
Databasen blev indekseret af søgemaskinen BinaryEdge den 13. august 2020, selvom den muligvis blev afsløret i nogen tid før det. Diachenko opdagede databasen og underrettede straks GTL samme dag. Omkring to timer senere anerkendte GTL eksponeringen. En time senere blev databasen isoleret og sikret.
Vi ved ikke, hvor længe databasen blev eksponeret, før den blev indekseret, eller om andre uautoriserede parter fik adgang til den. Det viser vores forskning usikrede databaser kan tilgås og angribes inden for få timer af eksponering.
Hvilke oplysninger blev afsløret
Mange af optegnelserne ser ud til at være indsamlet fra fængselsudstedte tablets, som vi formoder bruger Telmates GettingOut-tjeneste.
Databasen indeholdt tre indekser:
- 227.770.157 beskedposter
- 11.210.948 indsatte optegnelser
- 78.885 administrative poster, der indeholder loginoplysninger til Telmate-dashboardet
Tekstbeskedregistreringerne omfatter samtaler mellem indsatte og deres venner og familie, samt klager indgivet af indsatte, der anmoder om overførsler, uddannelsesprogrammer, tøj og juridisk bistand.
- Tekstbeskedens indhold
- Tidsstempel
- Indsatte oplysninger
- Fødselsdato
- Facilitets ID
- Fulde navn
- Køn
- Modtageroplysninger
- Fulde navn
- Email adresse
- Vejnavn
- Status for beskeden (om den blev blokeret af administratorer)
Fangeroptegnelser indeholder alle eller nogle af følgende oplysninger:
- Fulde navn
- Forbrydelse
- Facilitet
- Kontosaldo (bruges til at betale GTLs opkalds- og beskedgebyrer)
Opkalds- og beskedmodtageres oplysninger blev også registreret i databasen, der indeholder alle eller nogle af følgende:
- Fulde navn
- Email adresse
- Telefonnummer
- Vejnavn
- Kørekortnummer
- IP-adresse
Opkaldsregistreringer inkluderede opkaldstid, varighed, personlige oplysninger som nævnt ovenfor om begge parter og nogle andre data, men ikke faktiske optagelser.
Betalingsoplysninger, bortset fra kontosaldi, var ikke i databasen.
Ingen personligt identificerbare data blev opbevaret af Diachenko eller Comparitech.
Farer ved blotlagte data
De afslørede data kan bringe indsatte, deres venner og deres familier i fare, hvis de ender i de forkerte hænder. En person kan være i risiko for gengældelse for deres fængslede familiemedlems forbrydelse eller en anden overtrædelse, for eksempel.
Indsattes familier og venner kan blive udsat for chikane, overfald eller diskrimination baseret på deres forhold til en indsat, der ellers ville være privat.
Indsatte og deres kontakter kan også være i fare for målrettet svindel og phishing ved at bruge e-mails og telefonnumre indeholdt i databasen.
Loginoplysningerne til Telmates dashboard bruges af personale i fængsler og fængsler til at få adgang til opkalds- og beskedlogfiler. Deres eksponering kan give hackere mulighed for at bryde ind i disse systemer og stjæle opkaldsoptagelser eller andre data.
Om GTL og Telmate
Global Tel Link (GTL) er USA’s største fængsels-telekommunikationstjeneste. Det har været genstand for adskillige kontroverser vedrørende dets tjenester og behandling af indsatte.
GTL ejer Telmate, som laver og driver GettingOut, en internetbaseret app og service til indsatte til at foretage tale- og videoopkald og sende og modtage tekst- og fotobeskeder til personer udefra.
GTL er blevet anklaget for at prisudslette indsatte og deres familier med ublu opkalds- og beskedgebyrer. Lokale fængselssystemer og retshåndhævende myndigheder får ofte tilbageslag fra GTL-kontrakter, der afpresser et bundet marked, ifølge gruppesøgsmål indgivet i forskellige stater .
Telmate laver også Guardian, en app, der bruges til at overvåge prøveløsladtes placeringer. Appen var kritiseret for at være for invasiv, defekt og usikker . Guardian var ikke impliceret i datahændelsen den 13. august.
Hvorfor vi rapporterede denne hændelse
Comparitech sikkerhedsforskere scanner rutinemæssigt internettet for usikrede databaser, der indeholder personlige oplysninger. Når vi opdager en usikret database, begynder vi straks en undersøgelse for at identificere og underrette de ansvarlige for den. Vi undersøger dataene for at finde ud af, hvem der er berørt, hvilke oplysninger der er afsløret, og hvad de potentielle konsekvenser kan være.
Når dataene er blevet sikret, udgiver vi en rapport som denne for at øge opmærksomheden og mindske mulig skade på dem, hvis private oplysninger blev afsløret.
Tidligere rapporter om datahændelser
Comparitech har offentliggjort adskillige datahændelsesrapporter som denne, herunder:
- Sociale medier datamægler afslører næsten 235 millioner skrabet profiler
- UFO VPN afslører millioner af logfiler inklusive brugeradgangskoder
- 42 millioner iranske 'Telegram'-telefonnumre og bruger-id'er blev brudt
- Detaljer om næsten 8 millioner britiske onlinekøb lækket
- 250 millioner kundesupportposter fra Microsoft blev afsløret online
- Mere end 260 millioner Facebook-legitimationsoplysninger blev sendt til et hackerforum
- Næsten 3 milliarder e-mailadresser lækket, mange med tilsvarende adgangskoder
- Detaljerede oplysninger om 188 millioner mennesker blev opbevaret i en usikret database
- Over 2,5 millioner CenturyLink-kunderegistreringer lækket